el*Loco blogged

Erkenntnis des Tages: Von extern über eine 2MB Leitung mit dem Lotus Notes Client eine Mail mit 16MB Attachment empfangen macht keinen Spaß. Nur mal so.

So kann man auch erfolgreich verhindern, daß sich User aus einem Newsletter austragen (wenn man das Ganze schon nicht per Webinterface macht):

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

save to /var/opt/vmail/xxx-europe.net/no-reply/Maildir
generated by no-reply@xxx
(ultimately generated from no-reply@xxx)
mailbox is full

Nachdem ich mich jetzt bereits dreimal vom Combots Newsletter abgemeldet habe, kommt heute schon wieder ein Newsletter aus KA-Durlach und möchte mir Eintrittskarten für die Cebit andrehen. Ist da im System etwas komplett im Eimer oder ist das Absicht? Ich bin ja am überlegen, ob sich Combots damit für die Zusendung eines TFFFFF qualifiziert? Aber erstmal versuche ich es noch auf die nette Tour - vielleicht tut sich ja etwas.

Geht das anderen Accountinhabern auch so?

Update: Der Combots Support hat geantwortet und behauptet, mich jetzt abermals aus dem System entfernt zu haben. Ich bin gespannt.

Da ich Andy gestern damit helfen konnte gibt es hier noch einen Eintrag zum momentan für mich am Besten mit Postfix funktionierenden Anti-Spam Tool: policyd-weight von Robert Felber.

Ab Version 2.1 kann Postfix die Entscheidung, ob eine Mail angenommen wird, an einen externen policy daemon delegieren. Für den von mir eingesetzten policyd-weight ist nur der Inhalt dreier SMTP Kommandos interessant: HELO, MAIL FROM und RCPT TO. Mit diesen Werten checkt das Programm DNS Daten, inkonsistente HELO Strings und kann RBLs abfragen und bildet daraus einen gewichteten Score, um Mails bereits während des SMTP Dialogs abzulehnen. Das spart Bandbreite, schont die CPU durch weniger Scans mit Spamassassin o.ä. Tools auf dem Mailserver und erspart rejects für fälschlicherweise auf einer Blackliste geführten sauberen Host.

policyd-weight fragt momentan folgende RBLs ab
• njabl.org (using dynablock. and dnsbl. zones)
• spamcop.net (using bl. zone)
• spamhaus.org (using sbl-xbl. zone)
• dsbl.org (using list. zone)
• ix.dnsbl.manitu.net (RBL of a german zine)
• ordb.org (using relays. zone)
Erst wenn mehrere Kriterien wie gefälschtes HELO, Eintrag in zwei RBLs und falschen Nameserver Einträgen zutreffen wird die Mail abgelehnt.

Die Einrichtung ist einfach:


Dann entweder ein eigenes Init Script bauen oder im Laufe des bootens vor postfix starten:


Damit postfix den externen policy daemon ansprechen kann, wird die /etc/postfix/main.cf angepasst:


Nach einem


sollten die ersten Meldungen im konfigurierten Maillog auftauchen. Ein Beispiel für eine abgelehnte Mail sieht dann so aus:


Tipp: um das Verhalten von policyd-weight zu testen, kann der Aufruf in der main.cf mit vorgestelltem warn_if_reject eingebunden werden:


Jetzt wird zwar im Logfile ein Eintrag geschrieben, die Mail passiert aber ungehindert.
Mir erspart der Einsatz eines solchen policy daemons jedenfalls massiv Spam, nur noch über Mailinglisten kommt hin- und wieder etwas rein.

Nach Cruiser habe ich mich auch ein wenig mit Jabber auseinandergesetzt und neben dem sicheren Chatten gleich eine andere sehr nützliche Anwendung gefunden: beim Eingang bestimmter Mails lasse ich mich von einem Script per Jabber benachrichtigen und entweder ganze Mails oder nur Absender und Betreff übermitteln. In meinem Fall findet die Filterung per maildrop statt, das funktioniert aber auch mit procmail. Genutzt wird formail (Bestandteil des procmail Pakets) und das sendxmpp Script.

Im konkreten Fall werde ich bei neuen Mails der gentoo-announce Mailingliste benachrichtigt:

Schon Anfang September nach dem 3. Deutschen Antispam Kongress in Köln wollte ich eigentlich ein paar Zeilen zu den Vorteilen des Submission Ports und Sperrung des Port 25 für Dialup IPs schreiben. Das hat mir die auch auf dem Kongress vortragende MAAWG jetzt abgenommen und eine Empfehlung zur Behandlung des Port 25 durch Dialup Provider veröffentlicht:

Therefore, the MAAWG recommends the following set of Email
Transmission Best Practices for Internet and Email Service Providers:
1. Provide Email Submission services on port 587, as described in RFC 2476.
2. Require authentication for Email Submission, as described in RFC 2554.
3. Abstain from interfering with outbound connectivity to port 587.
4. Configure email client software to use port 587 and authentication for Email Submission.
5. Block access to port 25 from all hosts on your network, other than those that you explicitly authorize to perform SMTP relay functions. Such hosts will certainly include your own Email Submission servers and may also include the legitimate Email Submission servers of your responsible customers.
6. Block incoming traffic to your network from port 25. This prevents potential abuse from spammers using asymmetric routing and spoofing IP addresses on your network.

Das ganze Dokument gibt hieres als PDF. WEB.DE Freemail bietet diesen Submission Port übrigens schon seit geraumer Zeit an.

Viel kann ich momentan sowieso nicht tun - ausser warten daß die AV-Signaturen geupdatet werden und mir die Exim Config ein wenig anzuschauen ob es da eine Chance gibt das Zeugs zu blocken, also mal einige Infos zu der guten Sober-Variante:

Es scheint zwei Arten von Messages zu geben:

Subject: Thanks for your registration
Attachment: reg_text.zip
md5: 719029f12df7cdc1004dbf5e58ae4726
Dateigröße: 135826 bytes

Text: Thanks for your registration!
We have received your payment.

For more detailed information, read the attached text.

Subject: Hi, Ich bin's
Attachment: Liste.zip
md5: 7389e27041f2d924c54565a6ab9266e7
Dateigröße: 135826 bytes

Text: Hier ist die Liste die du haben wolltest.
Du solltest dich aber auch eintragen!

OK, bis dann

03:15 Uhr: Die Kaspersky Engine erkennt den Virus seit dem letzten Signaturupdate als Email-Worm.Win32.Sober.v
06:45 Uhr: knappe 6h nach Outbreak erkennen Sophos und Kaspersky die Datei als Sober Abart, Clamav und Ikarus halten das Ding für einen Mytob. Alle anderen AV-Hersteller erkennen nüscht.

Da sitz ich nun und darf ohne Kris die aktuelle Soberwelle aussitzen - immerhin dieses Mal extrem schnell erkannt und die Welt vor weiteren Infektionen geschützt. Jetzt mal warten, wann die großen AV-Hersteller ihre Patterns auf dem aktuellen Stand haben. Interessanterweise hat das LKA Bayern die Ausbreitung vorhergesagt - vielleicht mal deren Newsletter abonnieren

Seit mehr als einem Jahr ermittelt das Bayerische Landeskriminalamt gegen den Verbreiter des Computerwurms „Sober“, der in immer neuen Varianten PCs angreift.
Dem BLKA liegen Informationen vor, dass eine erneute Verbreitung des Wurmes für Dienstag, 15.11.05 durch Unbekannte geplant ist.

Reminder to self:


Thunderbird stoppen, obige Zeile in die prefs.js eintragen, Thunderbird wieder starten und neue Mails in allen IMAP Ordnern werden angezeigt. Ich bin immer am googlen danach, jetzt steht es hier.

Der Konferenz zweiter Teil. Weiterhin sehr interessante Vorträge von rechtlichen Aspekten der Mailfilterung bis hin zu den Erfolgen von Greylisting. Für Stimmung sorgt der "Geile-Fragen-Horst", dem in jedem Vortrag sinnfreie Offtopic Fragen einfallen wie

• ich habe Probleme mit Digest unter Apache bei Zugriffen mit dem Internet Explorer (beim Vortrag zu SASL)
• Muss ich bei meiner privaten DSL Flatrate den Traffic zahlen der mir durch unerwünschte Mails entstanden ist? (in Richtung referierendem RA)
• Haben Sie das selbst programmiert? (in fast jedem Vortrag)
• kann ich auch einen Hacker-Proxy einsetzen?

Er ist aber nicht eingeschnappt, wenn der Vortragende ihn nach einigen Unterbrechungen darauf hinweist, daß das erstens nicht Bestandteil des Vortrags ist und er zweitens aus Rücksicht auf die anderen Teilnehmer gerne mit dem geplanten Programm weitermachen würde. Irgendwie hatte ich das Gefühl daß er immer im gleichen Vortrag saß wie ich. Bis heute abend will ich noch rausfinden wer das ist und was er so tut, wahrscheinlich einer der vielen Leute aus dem Universitätsumfeld.

Aber: den "Schwanzvergleich" habe ich gewonnen: niemand der Anwesenden verarbeitet in seinem System mehr Mails als "ich" - beim Nennen einiger Hausnummern kam nach erstauntem Nachfragen doch meist anerkennende Blicke. So soll das sein.